Win32/Bugbear.A

Win32/Bugbear.A je Φerv funguj·ci v prostredφ operaΦn²ch systΘmov Windows. èφri sa ako s·bor v prφlohe sprßv elektroncikej poÜty. Jeho telo je zak≤dovanΘ utilitou PE LOCK. Jeho dσ₧ka je 50688 bajtov. Pou₧φva trik s dvoma prφponami v nßzve s·boru. Tento trik vyu₧φva skutoΦnos¥, ₧e operaΦn² systΘm Windows zobrazφ prv· prφponu no druhß, skutoΦnß u₧ zobrazenß nie je. ╚erv mß tie₧ backdoor komponent a schopnos¥ Üφri¥ sa po lokßlnej sieti.

Poznßmka:V ∩alÜom texte je namiesto mena adresßra, v ktorom je nainÜtalovan² operaΦn² systΘm Windows, ktor² sa m⌠₧e lφÜi¥ pri ka₧dej jednotlivej inÜtalßcii, pou₧it² symbolick² zßpis %windir%.

Po spustenφ s·boru v prφlohe sa Φerv nakopφruje do adresßra %windir%/System pod nßhodne vygenerovan²m menom (naprφklad hatch.exe) a do adresßra %windir%\Ponuka ètart\Programy\Po Spustenφ \ (angl. verzia %windir%\Strat Menu\Programs\Start Up\) taktie₧ pod nßhodne vygenerovan²m menom (naprφklad ias.exe). V adresßri %windir%/System vytvorφ s·bory s nßhodn²mi menami a prφponami .dll - naprφklad daxmmjm.dll, favuupu.dll a gauyys.dll. V registri systΘmu vytvorφ v k╛·Φi HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ polo₧ku "lap" s hodnotou ukazuj·cou na vytvoren² s·bor v adresßri %windir%/System.

╚erv deaktivuje v pamΣti procesy, ktorΘ maj· nßzov zhodn² so zoznamom v tele Φerva. Tieto nßzvy zodpovedaj· rozliΦn²m antivφrusovßm rezidentn²m programom, firewallom a bezpeΦnostn²m utilitßm. Tento zoznam na ve╛mi rozsiahly:

Pre svoje Üφrenie vyh╛adßva adresy elektronickej poÜty v s·boroch s prφponami .ODS, .MMF, .NCH, .MBX, .EML, .TBB a .DBX. Sprßva, ktor· odosiela m⌠₧e ma¥ jeden z nasledovn²ch predmetov:

Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re: Your News
Alert
Hi!
Get 8 FREE issues - no risk!
Greets!

K tejto sprßve je pripojenß k≤pia Φerva, ktorß mß v₧dy dve prφpony. Prvou z nich je jedna z nasledovn²ch:

Druhß m⌠₧e by¥ SCR, PIF alebo EXE. Vzh╛adom na sp⌠sob, ak²m Φerv tvorφ sprßvu, ktorou sa Üφri, m⌠₧e niekedy d⌠js¥ k ·niku d⌠vern²ch informßcii. ╚erv vyu₧φva pre svoje Üφrenie aj znßmu chybu prehliadaΦa Internet Explorer "Incorrect MIME Header", popis ktorej sa nachßdza na adrese www.microsoft.com/technet/security/bulletin/MS01-020.asp. Tßto chyba, pokia╛ na cie╛ovom poΦφtaΦi eÜte nie je nainÜtalovanß jej oprava, umo₧nuje aktivßciu Φerva u₧ len zobrazenφm nßh╛adu sprßvy, v prφlohe ktorej sa Φerv nachßdza. Nako╛ko t·to chybu vyu₧φva viacero Φervov a tr≤jskych ko≥ov, je potrebnΘ, aby ste si nainÜtalovali jej opravu. Tß sa nachßdza na adrese www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. Tßto oprava je potrebnß, pokia╛ pou₧φvate Internet Explorer verzii 5.01 alebo 5.5.

Backdoor komponent Φerva mo₧nuje vzdialen² prφstup na infikovan² poΦφtaΦ. InÜtaluje tie₧ do systΘmu trojskΘho ko≥a - v jednom zo s·borov vytvßran²ch v adresßri adresßri %windir%/System. Tento komponent Φerva mß dσ₧ku 5632 bajtov.

AV systΘm NOD32 detekuje Win32/Bugbear.A od verzie 1.308 (20020930)

Postup lieΦenia:

• aktualizova¥ NOD32 na najnovÜiu verziu
• spusti¥ NOD32 (ètart>Programy>Eset>NOD32 - angl. verzia Start>Programs>Eset>NOD32))
• v zßlo₧ke "Ciele diagnostiky" oznaΦi¥ vÜetky pevnΘ disky
• klikn·¥ na tlaΦφtko "Diagnostika"
• ke∩ NOD32 detekuje vφrus Win32/Bugbear.A - klikn·¥ na tlaΦφtko "Zmaza¥"
• reÜtartova¥ poΦφtaΦ